Vulnerability Details : CVE-2016-1242
file_open in Tryton before 3.2.17, 3.4.x before 3.4.14, 3.6.x before 3.6.12, 3.8.x before 3.8.8, and 4.x before 4.0.4 allows remote authenticated users with certain permissions to read arbitrary files via the name parameter or unspecified other vectors.
Vulnerability category: Information leak
Exploit prediction scoring system (EPSS) score for CVE-2016-1242
Probability of exploitation activity in the next 30 days: 0.14%
Percentile, the proportion of vulnerabilities that are scored at or less: ~ 49 % EPSS Score History EPSS FAQ
CVSS scores for CVE-2016-1242
| Base Score | Base Severity | CVSS Vector | Exploitability Score | Impact Score | Score Source |
|---|---|---|---|---|---|
|
4.0
|
MEDIUM | AV:N/AC:L/Au:S/C:P/I:N/A:N |
8.0
|
2.9
|
NIST |
|
4.4
|
MEDIUM | CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N |
0.7
|
3.6
|
NIST |
CWE ids for CVE-2016-1242
-
The product exposes sensitive information to an actor that is not explicitly authorized to have access to that information.Assigned by: nvd@nist.gov (Primary)
References for CVE-2016-1242
-
http://www.tryton.org/posts/security-release-for-issue5795-and-issue5808.html
Tryton - Whoops, that page isn't here!Vendor Advisory
-
https://bugs.tryton.org/issue5808
Issue 5808: file_open allows to open file outside trytond root - Tryton issue trackerIssue Tracking
-
http://www.debian.org/security/2016/dsa-3656
Debian -- Security Information -- DSA-3656-1 tryton-serverThird Party Advisory
Products affected by CVE-2016-1242
- cpe:2.3:a:tryton:tryton:*:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.8.3:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.8.1:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.8.6:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.8.5:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.8.2:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.8.0:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.8.4:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.8.7:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:4.0.1:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:4.0.3:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:4.0.2:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:4.0.0:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.6.10:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.2.0:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.6.2:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.6.1:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.6.11:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.6.6:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.6.8:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.6.9:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.6.0:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.6.4:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.6.5:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.6.3:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.6.7:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.4.4:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.4.1:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.4.3:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.4.10:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.4.0:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.4.5:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.4.9:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.4.6:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.4.8:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.4.7:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.4.13:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.4.12:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.4.2:*:*:*:*:*:*:*
- cpe:2.3:a:tryton:tryton:3.4.11:*:*:*:*:*:*:*